在企業當中，最常見的微軟Windows計算機配置方案就是采用組策略，利用組策略來設定并配置安全設置的能力一直都是Windows計算機的一大優勢所在。只要配置得當，這十項Windows組策略將讓你的辦公平臺擁有更出色的安全表現。這十項設置全部位于Computer Configuration/Windows Setting/Security Settings之下。

　　對本地管理員賬戶進行重新命名：如果惡意人士不知道管理員賬戶的名稱，則很可能需要花掉大量時間才能找到攻擊突破口。

　　禁用訪客賬戶：我們所作出的最糟糕的安全決定之一就是啟用訪客賬戶。它能夠對Windows計算機進行相當程度的訪問，同時又不設密碼——說到這里，相信大家已經明白我的意思了。

　　禁用LM與NTLM v1：LM（即局域網管理器）與NTLMv1認證協議存在漏洞。請務必使用NTLMv2與Kerberos。在默認情況下，大部分Windows系統都會接收全部四種協議。除非大家仍然在使用陳舊不堪而且沒有安裝更新補丁的老爺系統（也就是超過十年的系統版本），否則我們真的沒什么理由非要使用早期協議版本。

　　禁用LM散列存儲：LM密碼散列極易被轉換成明文密碼內容，因此絕對不要允許Windows系統將其儲存在磁盤上——黑客轉儲工具會輕松地將其找出來。

　　最低密碼長度值：我們應該將密碼的最低長度值設置在12位或者更高。不要滿足于區區8位的系統密碼（這也是我最常見到的密碼長度）。Windows密碼即使達到12位長度，其安全效果其實也不容樂觀——真正的安全性要到15位才有保障。在Windows驗證領域，15位是個魔術般的臨界點。只要能夠達到這樣的長度，所有形式的后門都會被緊緊關閉。而低于15位的任何密碼長度設置都等于是在增加不必要的風險。

　　最長密碼使用期限：大部分密碼的使用周期都不應該超過九十天。不過如果大家選擇了15位乃至更長的密碼內容，那么一年的使用周期也是可以接受的。已經有很多公共以及私人研究證實，長度在12個字符乃至以上的密碼的破解時耗更長，因此在以九十天為基準的密碼輪換機制下安全性也相對更好。

　　事件日志：啟用事件日志，利用它來記錄所有成功以及失敗的操作流程。正如我之前多次提到，如果堅持關注事件日志內容，大部分計算機犯罪活動的受害者本應該更早發現端倪、進而防止嚴重違規事件的發生。

　　禁用匿名SID枚舉：SID（即安全標識符）是針對Windows系統或者Active Directory之下每一個用戶、群組以及其它安全主體所分配的數字。在早期系統版本當中，未通過身份驗證的用戶可以通過查詢這些數字來判斷用戶（例如管理員）及群組的重要性，而這一特性也使其成為黑客們的最愛。

　　不要讓匿名賬戶駐留在每個群組當中：這兩種設置一旦出現失誤，就會導致匿名（或者為空）黑客以遠超權限范圍的方式訪問系統。自2000年以來，這些設置就已經被默認禁用——大家要做的就是確認自己沒有對默認方案作出改動。

　　啟用用戶賬戶控制：最后，自從Windows Vista開始，UAC機制就成了保護網絡瀏覽者們的頭號工具。我發現很多客戶會將這項功能關閉，僅僅是為了能讓某些陳舊應用的兼容性問題不再每次都進行詢問。目前大部分這類問題已經得到解決，剩下尚未解決的部分在微軟提供的免費應用兼容性故障排查工具面前也不再令人頭痛。總之，如果大家禁用了UAC，那么相當于遠離現代操作系統而重新回到Windows NT時代——這可不太明智。

　　再來告訴大家一個好消息：前面提到的所有設置在Windows Vista/Server 2008以及更新版本當中都會以默認狀態調整到位。大部分Windows安全指南資料都希望指導大家如何在現有基礎之上進一步提升安全保護效果。但根據我個人的感受，目前各位最好別去輕易改動這些設置。每一次發現問題，都是因為用戶改變了其初始運作方式、從而導致安全效果遭到削弱——這絕對不是什么好事。

　　在大家著手梳理組策略之前，還有其它一些重要事項值得關注，例如完善補丁安裝以及預防用戶安裝木馬程序等。不過在搞定了這些工作之后，確保組策略配置的正確有效就是邁向下一個輝煌成功的起點。

　　如果各位想利用最少的資源實現最具性價比的安全保護效果，那么請拋開那3700多種設置——只需以上十項，大家的業務環境就將擁有相當可靠的運行狀態。